コネクトバック|情報処理安全確保支援士試験 令和7年春期午前Ⅱ 問8
出典:令和7年春期 午前Ⅱ 問8
分野:セキュリティ / 情報セキュリティ
サイバー攻撃における,コネクトバックの説明はどれか。
- ア:PCをマルウェアに感染させてスクリーンロックしたり,ファイルを暗号化したりして使用不能にし,逆に復号することと引換えに金銭を要求する。
- イ:一見すると有益なソフトウェアと見せかけて,逆にマルウェアを利用者のPCにシェルを用いて利用者が気付かないうちにインストールさせる。
- ウ:侵害したシステムから攻撃者のサーバに対して通信を開始する。
- エ:製品,ソフトウェアなどを分解又は解析し,その仕組み,仕様,構成部品を明らかにしてバックドアを仕込む。
TSUNAGARU-ADVICE
まず押さえたいこと
コネクトバックは、攻撃者が外部から直接接続するのではなく、侵害されたシステム側から攻撃者のサーバへ通信を開始させる手法です。
迷ったときの判断軸
この手法のポイントは、通信の向きです。攻撃者が内部の端末へ接続しに行くのではなく、内部の侵害済み端末から外部の攻撃者側へ接続すると整理すると判断しやすくなります。ランサムウェアやリバースエンジニアリングとは目的も動作も異なります。
科目Bにつなげるために
科目Bでは、通信ログを見て、どちらから通信を開始しているかを読み取る力が問われます。外向き通信だから安全と決めつけず、侵害端末がC&Cサーバや攻撃者のサーバに接続していないかを確認する視点が重要です。
コネクトバックとは、感染したパソコンやサーバーの中にいるマルウェアが、自分から外部の攻撃者側サーバーへ通信しに行く仕組みです。
通常、社内ネットワークや家庭内ネットワークは、外部からの不審な通信をファイアウォールで遮断しています。そのため、攻撃者が外から直接、感染端末に命令を送ろうとしても、通信がブロックされることがあります。そこでマルウェアは、感染端末の内側から、攻撃者が用意したC&Cサーバーに定期的にアクセスします。C&Cサーバーとは、感染端末に命令を出すための司令塔のようなサーバーです。
たとえば、マルウェアは次のように動きます。
このように、攻撃者が外から入ってくるのではなく、感染端末側から外へ通信するのがコネクトバックの特徴です。外向きの通信は、業務上必要なWebアクセスなどと見分けにくい場合があります。そのため、コネクトバックは発見や遮断が難しいことがあります。
まとめると、コネクトバックは、マルウェアがファイアウォールを避けるために、自分から攻撃者のサーバーへ接続し、そこから命令を受け取る仕組みです。
したがって、ウが適切です。
❌他選択肢が誤りの理由ア:PCをマルウェアに感染させてスクリーンロックしたり,ファイルを暗号化したりして使用不能にし,逆に復号することと引換えに金銭を要求する。
⇒身代金を要求する、という点で違います。これはランサムウェアの説明です。
イ:一見すると有益なソフトウェアと見せかけて,逆にマルウェアを利用者のPCにシェルを用いて利用者が気付かないうちにインストールさせる。
⇒有益なソフトを装う、という点で違います。これはトロイの木馬などの不正ソフト混入の説明です。
エ:製品,ソフトウェアなどを分解又は解析し,その仕組み,仕様,構成部品を明らかにしてバックドアを仕込む。
⇒分解・解析して仕組みを明らかにする、という点で違います。これはリバースエンジニアリングの説明です。